Kryptogeldbörse Binance vereitelt Raubzug von Phishern

Die Hongkonger Kryptogeldbörse Binance hat eigenen Angaben nach einen groß angelegten Versuch Unbekannter vereitelt, Bitcoins von zuvor abgephishten Nutzeraccounts zu stehlen. Dem Blogeintrag der Börse zufolge hatten die automatischen Überwachungssysteme der Börse am Mittwochnachmittag ungewöhnliche Aktivitäten beim Handel der Währungspaare Viacoin und Bitcoin bemerkt. Daraufhin wurden Abhebungsversuche unterbunden. Kurz darauf machten auch schon Nutzerberichte von nicht autorisierten Aktivitäten auf Accounts die Runde sowie Gerüchte, die Börse sei gehackt worden.

Binance zufolge war es aber keine Kompromittierung der Börsensysteme. Vielmehr hatten Unbekannte in einer seit Januar laufenden Phishing-Kampagne Zugangsdaten zu Nutzeraccounts abgreifen können und so eine größere Anzahl von Accounts gesammelt. Die Täter konnten nichtsahnende Nutzer offenbar auf gefälschte Börsenseiten mit ähnlich klingenden Domains locken und sich darüber der Login-Daten bemächtigen. Den Höhepunkt soll die Kampagne Ende Februar erreicht haben, eine Zahl der betroffenen Nutzer nannten die Börsenbetreiber nicht.

Bitcoins durch Viacoin-Kauf entwenden

Mit den Accounts richteten sich die Unbekannten zunächst nur Keys für die Handels-API der Börse ein. Damit lassen sich Dritt-Anwendungen für den Handel berechtigen, etwa ein automatischer Trading-Bot. Erst am gestrigen Mittwoch versuchten die Cyberganoven dann laut Binance im Handstreich Profit aus ihrem Identitätsdiebstahl zu schlagen: Binnen zweier Minuten wurde über die gestohlenen Accounts eine große Zahl von Kauforders für Viacoin gegen Bitcoin platziert. Viacoin ist eine eher kleine Kryptowährung mit vergleichsweise geringem Handelsvolumen.

Zeitgleich dazu starteten die Angreifer von eigenen 31 Accounts, die sie zuvor mit Viacoins bestückt hatten, einen Abverkauf von Guthaben dieser Währung. Darauf folgten dann von diesen 31 Accounts Abhebungsversuche für die frisch eingegangenen Bitcoins, die Binance jedoch stoppte.

Angreifer haben doppelt verloren

Binance geht davon aus, dass sich die Täter so unter dem Tarnmantel legitimen Handels der Bitcoin-Guthaben ihrer Opfer bemächtigen wollten. Die etwas umständliche anmutende Masche der Angreifer, die Binance schildert, hat ferner den Charme, 2-Faktor-Authentifizierung bei den Accounts der Opfer größtenteils umgehen zu können. So wäre nur einmalig ein gültiger 2FA-Code nötig, um sich im Opfer-Account einzuloggen, den Key für die Trading-API zu erzeugen und seinen Handels-Bot für spätere Aktionen zu autorisieren. Weil der Bot nur handeln, aber nicht abheben kann, braucht es dann einen Umweg, um sich auch der Coins zu bemächtigen. Deshalb der Viacoin-Verkauf über die 31 Accounts.

Gereicht hat das dennoch nicht: Durch die Reaktion der Börse sind den Gaunern nun nicht nur die Coins ihrer Opfer durch die Lappen gegangen – die nicht verkauften Viacoins liegen auch noch eingefroren auf den Accounts.

Inzwischen sei die Situation bereinigt, Abhebungen seien wieder möglich, erklärte Binance. Die von den Gaunern ausgelösten Viacoin-Käufe würden rückgängig gemacht – aber nur soweit auch Handel mit einem der 31 Angreifer-Accounts stattfand. Pech hat derjenige, bei dem die Gauner einen Kauf ausgelöst haben und die Coins dann von einem unbescholtenen Gegenpart kamen. Solche Käufe ließen sich nicht rückgängig machen, erklärte Binance. Da sei nur allen Nutzern zu raten, sorgfältig mit ihren Login-Daten umzugehen.

[UPDATE: 8.03.2018, 17:40]

Meldung wurde um Hinweis auf die Umgehung der 2-Faktor-Authentifizierung bei Binance ergänzt. (axk)